Inspirée des chaînes de destruction militaires, la Cyber ​​Kill Chain est un cadre de cybersécurité introduit par Lockheed Martin en 2011. Elle vise à aider les organisations à se défendre contre les cyberattaques en comprenant leur déroulement. La Cyber ​​Kill Chain divise une attaque en sept étapes :

1. Reconnaissance : Dans la première étape, l’attaquant recueille des informations sur la cible
2. Armement : Une fois la reconnaissance appropriée effectuée, l’attaquant crée une charge utile livrable ou modifie une charge utile existante en fonction des vulnérabilités du système cible
3. Livraison : Une fois prête, l’attaquant envoie la charge utile armée à la cible
4. Exploitation : Une fois exécutée, la charge utile exploite une vulnérabilité dans le système de la cible
5. Installation : L’exploitation permet à l’attaquant d’installer une porte dérobée ou un logiciel malveillant pour maintenir la persistance dans l’environnement de la cible
6. Commande et contrôle ( C2 ) : En utilisant la porte dérobée installée, l’attaquant peut contrôler le système compromis
7. Actions sur les objectifs : En arrivant jusqu’ici, l’attaquant peut désormais effectuer d’autres actions telles que l’exfiltration de données ou l’exploitation d’autres systèmes

Reconnaissance

La reconnaissance trouve son origine dans le domaine militaire et désigne l’acte de recueillir des informations sur une cible. En cybersécurité, cette étape consiste à recueillir des informations sur les vulnérabilités et les faiblesses de la cible afin de découvrir des points d’entrée potentiels.